Política de segurança BYOD: principais riscos, prós e contras e melhores práticas
Bring Your Own Device (BYOD) é uma política empresarial que permite aos colaboradores utilizar os seus dispositivos pessoais para fins de trabalho....
Como deve definir as suas políticas de segurança para os colaboradores que trabalham a partir de casa? Quais são os potenciais culpados de uma força de trabalho remota? E será que o BYOD está a colocar a sua organização em risco desnecessário de uma violação de dados? Há quem ame e há quem deteste, mas não vale a pena fechar os olhos ao enorme aumento do número de colaboradores a trabalhar a partir de casa.
Desde que a covid virou o mundo do avesso em 2020, trabalhar remotamente tornou-se a norma... e uma nova ameaça à segurança de dados. A covid-19 enviou os colaboradores para os escritórios em casa. Por todo o mundo, os trabalhadores têm trabalhado a partir de casa, mas nem todas as empresas conseguiram acompanhar do lado das políticas de segurança.
Com base no 2022 Verizon Data Breach Investigations Report , 82 % de todas as violações de dados envolvem o elemento humano. Provavelmente já sabe demasiado bem como é difícil manter esses humanos sob controlo, do ponto de vista da segurança, mesmo quando estão todos no mesmo edifício. Mas garantir que todos estão a ser cuidadosos quando estão fora da vista? Tem a certeza de que as suas orientações de trabalho a partir de casa para os colaboradores estão atualizadas?
Com 8 em cada 10 pessoas a trabalhar quer num ambiente totalmente remoto quer híbrido (e prevê-se que os números aumentem, com base num estudo da AT&T de 2022), definir e manter uma política de trabalho a partir de casa não é apenas importante; é crítico para a segurança de qualquer organização.
Estas são as principais coisas a ter em mente se a sua organização emprega trabalhadores remotos.
Quais são os riscos de segurança de trabalhar a partir de casa?
Antes de mais, sejamos claros numa coisa: chama-se "trabalho a partir de casa", mas, a menos que esteja especificamente a restringir os seus colaboradores de trabalharem fora da residência, eles podem estar em qualquer lado: de um café no centro a uma praia do outro lado do mundo.
Isso requer planeamento mais inteligente, políticas mais fortes e melhor comunicação com os colaboradores da sua parte.
O trabalho remoto coloca uma vasta variedade de riscos de cibersegurança, devido a todos os cenários e versões potenciais de trabalho remoto. Algumas considerações potenciais:
- Sem um departamento de TI no escritório ao lado, o seu trabalhador remoto pode ter dificuldades com as suas competências limitadas em TI.
- A que tipo de redes se estão a ligar os seus colaboradores? Estão a usar wifi público?
- Está a fornecer hardware aos trabalhadores remotos , ou estão a usar os seus próprios dispositivos?
- A sua infraestrutura é baseada na cloud para permitir uma solução de trabalho a partir de casa mais funcional?
- Quais são os hábitos de trabalho dos seus colaboradores? Poderão estar a colocar os seus dados em risco com o seu comportamento?
As políticas de segurança de trabalho a partir de casa mais importantes
As medidas de segurança que define para a sua organização dependerão das circunstâncias específicas. Mas não precisa de reinventar a roda.
Já existem inúmeras regulamentações que a sua organização pode ou não ter de cumprir e que já especificam as políticas de trabalho remoto mais importantes.
Pode também usar a ISO 27001, uma orientação importante para o estabelecimento de um sistema eficaz de gestão da segurança da informação, para definir a melhor política de segurança de dados possível para a sua organização. Saiba mais sobre a ISO 27001
Algumas áreas que terão sempre de ser abordadas.
Proteger redes
Pode ser tão simples como garantir que o router wifi de casa dos seus colaboradores não está ainda com a palavra-passe predefinida e insistir que nunca usem wifi público para se ligarem aos sistemas da sua organização, a menos que utilizem a VPN da sua organização (uma rede privada virtual).
Uma VPN encriptará os dados enviados e recebidos, prevenindo fugas de dados. É como um disfarce para a identidade online dos seus colaboradores e para os seus dados sensíveis.
Autenticação multifator
Imponha uma política forte de palavras-passe e exija a alteração de palavras-passe periodicamente, mas não fique por aí. Faça com que os seus colaboradores usem autenticação de dois fatores para iniciar sessão nos sistemas da sua organização como camada extra de proteção.
Pode ser desde a utilização de palavras-passe de uso único à utilização de biometria.
A autenticação de dois fatores pode reduzir drasticamente o sucesso de ataques de phishing e de malware, uma vez que estes dependem frequentemente do roubo de informação como palavras-passe para infiltrar um sistema.
Já ouviu falar de Zero Trust? A abordagem Zero Trust é um modelo de proteção contra a perda de dados em evolução, baseado na necessidade de autenticar e autorizar qualquer acesso à rede, porque a confiança não é assumida mesmo que já tenha sido concedida. É uma excelente ferramenta que o pode ajudar a definir os seus requisitos de autenticação.
Encriptação
A encriptação significa que os dados de e-mails e documentos são codificados, e apenas as partes autorizadas podem aceder e decifrá-los.
Claro, todos os dispositivos têm uma opção de encriptação, mas estará ligada? Pode também implementar software de encriptação de dados para proteger a sua organização. A encriptação também é usada para proteger dados sensíveis transferidos entre os dispositivos dos colaboradores e os servidores da empresa.
Usar uma VPN encriptará os dados que vão e vêm do seu trabalhador remoto pela internet.
Software e sistemas de segurança atualizados
Garanta que todos os seus colaboradores que trabalham a partir de casa têm firewalls, software e sistemas de segurança atualizados em todos os seus dispositivos. Quer que todos os patches de segurança sejam ativados assim que saiam, para que quaisquer vulnerabilidades no sistema sejam geridas.
Isto pode ser mais difícil de alcançar no modelo BYOD (bring your own device). Mais sobre isso abaixo.
Comunicação e suporte
Forneça canais claros de comunicação. Forme os seus colaboradores sobre como reportar qualquer atividade online suspeita. Instrua-os sobre como detetar uma tentativa de phishing ou uma violação de segurança. Os seus colaboradores que trabalham a partir de casa sabem com quem falar caso surja uma questão de segurança? Tenha alguém em cada equipa a atuar como contacto de referência e forneça orientações sobre que tipo de questões devem ser reportadas.
Comportamento seguro
Fale com os seus colaboradores sobre comportamento seguro — Estão a trabalhar num ambiente em que as pessoas conseguem ver facilmente os seus ecrãs? Sabem que não devem partilhar informação sensível através de sistemas de mensagens ou redes sociais? Estão a fazer o suficiente para evitar o roubo de hardware?
Sistemas de DLP dedicados
Os sistemas dedicados de DLP (data loss prevention), como as soluções da Safetica, usam um sistema centralizado e automatizado para monitorizar e reportar tudo o que acontece no panorama de cibersegurança de uma organização — no local ou fora dele. Sentir-se-á mais seguro sabendo que, onde quer que estejam os seus colaboradores, os dados sensíveis da sua organização permanecerão seguros.
DLP dedicado vs DLP integrado: qual faz sentido para a sua organização?
Como explicar e fazer cumprir as orientações de segurança
Para colaboradores internos, pode usar coisas como cartazes e visuais LED para espalhar mensagens de segurança pelo escritório. Também é mais provável detetar comportamentos questionáveis ou perceber a necessidade de distribuir aquela nova brochura de segurança em que passou tanto tempo.
Para colaboradores em trabalho a partir de casa, fora da vista e literalmente fora do local equivale a menos possibilidades de ter qualquer efeito físico sobre as pessoas com quem trabalha. Vai ter de pensar fora da caixa e lembrar-se de que é muito mais fácil esquecer políticas, mesmo que por acidente, quando não se está no escritório.
Saiba mais sobre como formar os seus colaboradores em segurança de dados. ->
Em poucas palavras, para manter a consciência de segurança, precisa de manter as suas políticas fáceis de entender, fáceis de implementar e fáceis de lembrar. E, para os trabalhadores remotos, também fáceis de encontrar à partida.
Como a prática leva à perfeição, todos na organização podem beneficiar de um lembrete amigável de tempos a tempos. Pode planear uma campanha de e-mail para explicar uma regra de segurança a cada duas semanas, de forma simples? Faça com que os líderes de equipa deem o exemplo, incluindo a gestão de topo, e torne a segurança de dados num tópico em reuniões regulares.
Para fazer chegar a mensagem, seja pessoal e KISS! Os e-mails e as mensagens passivas são ótimos como reforços, mas, para os seus colaboradores realmente o ouvirem e não apenas lerem por alto o checklist de segurança que lhes envia, têm de o ouvir da boca do dono.
Todas as políticas ficam ótimas no papel, mesmo no digital, mas têm muito mais impacto durante uma apresentação em vídeo em direto pelo Diretor de TI ou mesmo pelo CEO — está a deixar os seus colaboradores em trabalho a partir de casa participar em reuniões importantes online, certo? Se for apenas o George, o tipo de TI, a chateá-los em mais uma mensagem de Slack, mal será ouvido.
Por isso, mantenha-o curto e simples (KISS!), mas faça-o contar.
Especificidades do BYOD ao trabalhar a partir de casa
Se os seus colaboradores remotos usam computadores e outros dispositivos que a sua organização lhes fornece, pode garantir que todo o equipamento e software cumprem os padrões e políticas da empresa.
Mas e quanto ao BYOD? Se os colaboradores usam os seus próprios dispositivos, as suas orientações de trabalho a partir de casa para os colaboradores terão de:
- Especificar dispositivos aprovados
- Separar dados pessoais e dados da empresa
- Planear a manutenção e atualizações contínuas de todos os dispositivos
- Definir restrições sobre o que pode e não pode ser instalado no dispositivo
- Considerar potenciais questões legais e dificuldades na recuperação de dados
- Explicar expectativas de propriedade e procedimentos aquando da cessação do contrato de um colaborador
Embora o BYOD tenha vantagens óbvias, como custos reduzidos e potencialmente maior mobilidade, também coloca um maior risco de segurança para a sua organização.